Was ist eine Multi-Faktor-Authentifizierung (MFA)?
Um dem Risiko von Cyberangriffen entschieden entgegenzuwirken und den Schutz von Daten und Geräten zu intensivieren, führt die Universität zu Köln die Multi-Faktor-Authentifizierung (MFA) für den Login von IT-Diensten ein. Dabei handelt es sich um einen oder mehrere unabhängige Faktoren, welche bei einem Login mit Personal-, Studierenden- oder Gast-Account zusätzlich zu Benutzernamen und Passwort verwendet werden müssen. Hierdurch wird der Schutz vor unbefugtem Zugriff auf Dienste, Software und Daten erhöht.
Was ist Cisco Duo?
Die Mehrfaktorauthentifizierung (MFA) wird an der Universität zu Köln mit Cisco Duo umgesetzt.
Cisco Duo ist ein System, welches mehrere Authentifizierungsmöglichkeiten als sogenannten Zweiten Faktor umfasst.
Welche Möglichkeiten der Authentifizierung bietet Cisco Duo?
Cisco Duo bietet verschiedene Möglichkeiten an, einen zweiten Faktor zu nutzen:
Duo Mobile-App
FIDO2-Key: In bestimmten webbasierten Anmeldungen kann auch ein FIDO2-Key (z.B. YubiKey, Titan Security Key oder vergleichbare) als zweiter Faktor genutzt werden. Da dieses Verfahren nur in webbasierten Anmeldungen zur Verfügung steht, kann ein FIDO2-Key erst nachträglich über die Geräteverwaltung hinzugefügt werden. Bitte beachten Sie, dass wir das Hinzufügen sowie die Verwendung eines FIDO2-Keys aufgrund der unterschiedlichen verfügabren Keys nicht supporten können! Eine grundlegende Anleitung zum Hinzufügen eines FIDO2-Keys (Link to come) steht Ihnen hier zur Verfügung.
Sollten Sie keine App oder FIDO2-Key verwenden wollen oder können, melden Sie sich bitte am RRZK-Helpdesk.
Kann ich auch eine andere Authentifizierungs-App nutzen (z.B. Google Authenticator)?
Nein, Cisco Duo unterstützt nicht die Verwendung anderer Authentifizierungs-Apps. Cisco Duo unterstützt nur die Duo Mobile-App. Duo Mobile kann zwar andere Passcode-generierende Apps für Drittanbieterkonten ersetzen, aber andere Apps können Duo Mobile nicht ersetzen.
Welche Dienste werden mit Cisco Duo abgesichert?
Folgende Dienste sind aktuell mit Cisco Duo abgesichert:
Aktuell können bzw. müssen nur bestimmte Personengruppen an der UzK Cisco Duo nutzen. Sie werden rechtzeitig darüber informiert werden, ab wann Sie Cisco Duo nutzen können bzw. müssen. Ob Sie zu einer solchen Personengruppe dazugehören, können Sie daran feststellen, ob beim Login vom VPN-Dienst eine Cisco Duo-Abfrage erscheint.
Bitte beachten Sie! Sofern Ihre Personengruppe für eine optionale Nutzung von Cisco Duo freigeschaltet ist, gilt: Sobald Sie sich bei Cisco Duo registriert haben, ist die Nutzung aller daran angeschlossener Dienste (bspw. VPN) nur noch mit Cisco Duo möglich. Eine Rückkehr zur Nutzung ohne Cisco Duo ist nicht vorgesehen.
Zweiter Faktor / Geräte
Was ist mein Zweiter Faktor?
Als "Zweiter Faktor" werden alle Authentifizierungsmöglichkeiten (Geräte) bezeichnet, die Sie in Cisco Duo hinterlegt haben. Sie können diese im Self-Service-Portal einsehen, neue hinzufügen oder entfernen.
Wie füge ich einen weiteren Zweiten Faktor/ein weiteres Gerät hinzu?
Wie Sie eine weitere Authentifizierungsmöglichkeit als zweiten Faktor hinzufügen, haben wir in dieser Anleitung beschrieben:
Ich kann die Geräteverwaltung nicht öffnen, sondern sehe die Login-Seite.
Nachdem Sie sich im Self-Service-Portal mit Benutzername und Passwort angemeldet haben, authentifizieren Sie sich bitte zunächst nicht über einen zweiten Faktor, sondern wählen "Geräte verwalten" aus und authententifizieren sich erst im nächsten Schritt. Eine Schritt-für-Schritt-Anleitung finden Sie hier:
Ihre Telefonnummer wird nicht benötigt und muss daher auch nicht hinterlegt werden. Wählen Sie stattdessen "Ich habe ein Tablet" aus. Eine bebilderte Anleitung finden Sie hier:
Ich habe nicht die Möglichkeit Cisco Duo auf dem Campus einzurichten. Wie gehe ich vor?
Die erstmalige Registrierung für Duo ist nur möglich über Geräte, die sich auf dem Campus der UzK befinden (nicht von zu Hause oder unterwegs per VPN).
Sofern Sie sich nicht im Kölner Umland befinden und die Registrierung auf dem Campus vornehmen können, wenden Sie sich bitte an den RRZK-Helpdesk.
App Duo Mobile
Welches sind die Systemvoraussetzungen für Duo Mobile?
Für die Verwendung der App Duo Mobile auf einem Endgerät als zweiten Faktor muss mindestens eine der folgenden Anforderungen erfüllt sein:
Android 11 oder höher
iOS 15.0 oder höher
iPadOS 15.0 oder höher
watchOS 4.0 oder höher
Auf dem verwendeten Gerät muss zwingend eine Displaysperre (z.B. per PIN, Passwort, Fingerabdruck o.ä.) eingerichtet sein
Ich habe KEIN kompatibles mobiles Endgerät für die App Duo Mobile? Was soll ich tun?
Aktivieren Sie diese Option, müssen Sie bei einer erneuten Anmeldung an einem per Cisco Duo abgesicherten Dienst für 9 Stunden keinen Zweiten Faktor verwenden. Es genügt die Anmeldung bei Shibboleth per Benutzername und Passwort.
Achtung: Dies gilt nur für den jeweiligen Computer (Browser), auf dem Sie sich per Zweitem Faktor authentifiziert haben.
Welche Authentifizierungsarten gibt es in Duo Mobile?
Je nach Einsatzzweck gibt zwei unterschiedliche Authentifizierungsarten:
"Duo Push": Die Duo Mobile-App zeigt auf dem eingerichteten mobilen Endgerät eine Push-Benachrichtigung an, über welche Sie mit einem Klick auf "Genehmigen" Ihre Identität bestätigen.
"Duo Mobile-Passcode": Cisco Duo zeigt Ihnen einen temporären Passcode an, welchen Sie in der App eingeben
